Производителят на корпоративен софтуер SAP обяви във вторник пускането на 16 нови и три актуализирани бележки за сигурност като част от Деня на пачовете за сигурност през септември 2024 г.
Начело на списъка с бележки по сигурността този месец са трите актуализации, всички за бележки, публикувани през август 2024 г., за отстраняване на уязвимости с критична, висока и средна степен на опасност.
Първата от тях, бележка за горещи новини, която разрешава липсваща проверка за оторизация в BusinessObjects (CVE-2024-41730, CVSS оценка 9,8), е актуализирана с инструкции за заобикаляне за клиенти, които не могат да приложат наличните кръпки, обяснява фирмата за сигурност на корпоративни приложения Onapsis.
Втората, адресираща грешка с висока степен на опасност за разкриване на информация в Commerce Cloud (CVE-2024-33003, CVSS оценка 7,4), актуализира фиксираната версия на засегнатото приложение.
SAP също така актуализира бележка със среден приоритет, която поправя множество дефекти в сигурността на Replication Server (FOSS), и публикува 13 други бележки за сигурност, поправящи дефекти със средна тежест в NetWeaver, Commerce Cloud, BusinessObjects, Business Warehouse, S/4 HANA и SAP for Oil & Gas.
Решените проблеми включват уязвимости, свързани с кръстосани скриптове на сайта (XSS), разкриване на информация, отвличане на DLL и липсваща проверка за оторизация, които могат да повлияят на наличността, поверителността и целостта на приложенията.
Една от бележките се отнася до шест пропуски в липсващата проверка за оторизация в NetWeaver, включително един, който „позволява на атакуващ с ниски привилегии да изпрати изработен пакет в уязвимия функционален модул, насочен към определен потребител. Този потребител вече няма да има достъп до никаква функционалност на SAP GUI и по този начин ще изпита пълна загуба на наличността на приложението“, казва Onapsis.
Останалите три бележки по сигурността, които SAP публикува този месец, разрешават недостатъци с ниска степен на сериозност, свързани с липсваща проверка за оторизация в Student Life Cycle Management (SLcM) и NetWeaver Application Server for ABAP и ABAP Platform.
SAP не споменава, че някоя от тези уязвимости е използвана до момента. На потребителите се препоръчва да прегледат бележките за сигурност на SAP и да приложат поправките възможно най-скоро.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.